У WatchGuard официально есть клиенты только для Windows и Mac. Но я вижу, что он использует openvpn внутри. Я не мог подключиться к WG из Linux.

Есть ли кто-то, кто действительно работает? Как?

Вот что я сделал, чтобы WatchGuard / Firebox SSL VPN работал на Ubuntu 11.10:

Получение необходимых файлов

Вам понадобятся следующие файлы:

• ca.crt
• client.crt
• client.pem
• client.ovpn

С компьютера с Windows

Вам понадобится доступ к оконному компьютеру, на котором вы сможете установить их клиент.

1. Следуйте инструкциям по установке своего клиента.
2. Войдите в систему в первый раз (это сделает несколько файлов в каталоге WatchGuard)
3. Скопируйте файлы из каталога WatchGuard
   • Windows XP: C:\Documents and Settings\{Username}\Application Data\WatchGuard\Mobile VPN\
   • Windows Vista / 7: C:\Users\{Username}\AppData\Roaming\WatchGuard\Mobile VPN\
4. Важными из них являются ca.crt, client.crt, client.pem и client.ovpn (обратите внимание, что client.pem может что-то еще, заканчивающееся на .key).
5. Скопируйте эти файлы в вашу систему Ubuntu.

Из коробки Firebox SSL

Это с сайта Watchguard. Я не пробовал эти инструкции напрямую, но они выглядят разумно.

http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false

Из их документа:

1. Запустите WatchGuard System Manager и подключитесь к вашему устройству Firebox или XTM.
2. Запустите Firebox System Manager.
3. Откройте вкладку «Отчет о состоянии».
4. Нажмите Поддержка, расположенная в правом нижнем углу окна.
5. Нажмите Обзор, чтобы выбрать путь на своем компьютере, куда вы хотите сохранить файл поддержки. Нажмите Получить. Подождите, пока ваш файл поддержки загружается из Firebox. Это может занять до 20-30 секунд. Появится диалоговое окно с сообщением о завершении загрузки. По умолчанию файл поддержки имеет имя, например 192.168.111.1_support.tgz.
6. Разархивируйте файл поддержки в папку на вашем компьютере, к которой у вас есть легкий доступ.
7. Разархивируйте файл Fireware_XTM_support.tgz, содержащийся в исходном файле, в ту же папку.

Необходимое программное обеспечение на Ubuntu

Вам нужно будет установить несколько пакетов для подключения из Ubuntu (предполагается, что версия для настольного компьютера, скорее всего, для версии сервера все по-другому).

• openvpn (скорее всего, уже установлен)
  • sudo apt-get install openvpn
• сетевой менеджер открыть плагин vpn
  • sudo apt-get install network-manager-openvpn
• Сетевой менеджер OpenVPN плагин для Gnome (необходим с Ubuntu 12.04)
  • sudo apt-get install network-manager-openvpn-gnome

Тестирование из командной строки

Вы можете проверить, работает ли соединение из командной строки. Вам не нужно делать это, но это может сделать вещи проще.

Из каталога вы скопировали файлы config / crt:

sudo openvpn --config client.ovpn

Настройка сетевого менеджера

Диспетчер сети - это значок на панели панели вверху (в настоящее время стрелки вверх / вниз). Вам понадобится несколько строк из client.ovpnфайла, поэтому откройте его в редакторе для справки.

Это пример client.ovpn:

dev tun
client
proto tcp-client
ca ca.crt
cert client.crt
key client.pem
tls-remote "/O=WatchGuard_Technologies/OU=Fireware/CN=Fireware_SSLVPN_Server"
remote-cert-eku "TLS Web Server Authentication"
remote 1.2.3.4 1000
persist-key
persist-tun
verb 3
mute 20
keepalive 10 60
cipher AES-256-CBC
auth SHA1
float 1
reneg-sec 3660
nobind
mute-replay-warnings
auth-user-pass

1. Нажмите на значок сетевого менеджера
2. Выберите VPN-соединения-> Настроить VPN ...
3. Выберите Добавить.
4. Выберите вкладку VPN
5. Для сертификата пользователя выберите файл client.crt (из certстроки)
6. Для CA Certificate выберите файл ca.crt (из caстроки)
7. В качестве закрытого ключа выберите файл client.pem. (с keyлинии)
8. Для моей настройки мне также нужно было установить тип Password with Certificates (TLS)(из auth-user-passстроки).
9. Gatewayприходит с remoteлинии. Вам необходимо скопировать имя сервера или IP-адрес. В этом примере «1.2.3.4»

Остальные настройки находятся в области «Дополнительно» (кнопка «Дополнительно» внизу). На вкладке Общие:

1. Use custom gateway portиспользует последний номер из remoteстроки. В этом примере «1000»
2. Use TCP connectionприйти с protoлинии. В этом случае tcp-клиент.

На вкладке Безопасность:

1. Cipherприходит с cipherлинии. (В этом примере AES-256-CBC)
2. «Аутентификация HMAC» происходит с authлинии. (В этом примере SHA1)

Под вкладкой Аутентификация TLS:

1. Subject Matchпроисходит от строки `tls-remote '. (В этом примере / O = WatchGuard_Technologies / OU = Fireware / CN = Fireware_SSLVPN_Server)

Мне также нужно было проверить «использовать это соединение только для ресурса в своей сети» на вкладке «Настройки IPv4» под кнопкой «Маршруты ...».

Возможно, потребуется больше для настройки, в зависимости от того, как настроен Firebox SSL, но, надеюсь, это поможет в качестве отправной точки. Также вы можете посмотреть журнал sys, если у вас есть проблемы (tail -fn0 / var / log / syslog)

Требования к программному обеспечению

sudo apt-get install network-manager-openvpn-gnome

или для минималистов:

sudo apt-get install openvpn

Получить сертификаты и настройки

Для устройств Watchguard XTM под управлением 11.8+

Похоже, что страница https: //yourrouter.tld/sslvpn.html, которая используется для получения клиента Windows, теперь также включает в себя загрузку общей конфигурации ovpn, сохраняющую шаги в обходном пути. Просто войдите в систему и перейдите в этот каталог, чтобы получить файл конфигурации. Поздравляю с тем, чтобы вы были равны с вашими друзьями по Windows и Mac.

Перейдите к шагу «Создание нового VPN-подключения».

Для устройств Watchguard XTM под управлением 11,7 или менее

Их можно получить непосредственно с брандмауэра (замените сервер своим):

1. Перейти к https://watchguard_server and authenticate to the firewall.
2. Перейти к https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl

С другой стороны (я считаю, что это менее безопасно, потому что пароль отправляется в запросе) (замените сервер, пользователя и передать своим собственным):

https://watchguard_server:4100/?action=sslvpn_download&filename=client.wgssl&username=youruser&password=yourpass

Переместите файл client.wgssl туда, где вы хотите сохранить конфигурацию и сертификаты, возможно, в / etc / openvpn. Это создаст для вас tar-бомбу, поэтому вы захотите создать папку для ее извлечения.

Бег tar zxvf client.wgssl

Создать новое VPN-соединение

Откройте Сетевые подключения и добавьте новые. Для типа в разделе VPN выберите «Импортировать сохраненную конфигурацию VPN ...». Найдите файл client.ovpn в папке, которую вы распаковали client.wgssl.

Добавить учетные данные

Отредактируйте только что созданное соединение, указав свое имя пользователя и пароль, или установите для пароля значение «Всегда спрашивать».

Предупреждение. Пароль сохраняется в зашифрованном виде.

Настроить сеть

Если вы не хотите, чтобы VPN занимал весь ваш трафик, просто трафик, идущий в удаленное местоположение, перейдите на вкладку «Настройки IPv4» -> «Маршруты» и установите флажок «Использовать это соединение только для ресурсов в своей сети»

Следуйте этим инструкциям - http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false Протестировано в Ubuntu 11 и Fedora 15 с XTM 11.x

Спасибо, ребята, я только что попробовал процедуру, описанную на сайте Watchguard ( http://customers.watchguard.com/articles/Article/2870?retURL=/apex/knowledgeHome&popup=false )

Я написал скрипт для запуска соединения, и он работает просто отлично.